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Abstract 



The integrity of downloaded Information (7) is ensured by having the receiving computer (2) compute a 
validation word from the information it receives. This is compared with a corresponding validation word (8) 
stored in the computer. If the words agree, the integrity of the information received is confirmed. 



Data supplied from the esp@cenet database - 12 



http://12.espacenet.com/espacenet/abstract?CY=ep&LG=en&PNP=EP0939012&PN=EP093.. 



12/15/04 



'Iliiillillilillillili 

(11) EP 0 939 012 A1 



(12) DEMANDE DE BREVET EUROPEEN 



(43) 


Date de publication: 


(51) lntCL6: B60R 25/04 




01 QQ IQQO RullAtIn 1009/35 


(21) 


Num6ro de depot: 99400426.5 




(22) 


Date de d6p6t: 22.02.1999 




(84) 


Etats contractants d^signds: 


(72) Inventeurs: 




AT BE CH CY DE DK ES Fl FR GB GR IE IT LI LU 


• Lou bey re, Yves 




WIC NL PT SE 


92380 Garches /FR\ 

04bWWW Vial Wl 199 \f ■ ' / 




Etats d' extension d6sign§s: 


• Abadle, eric 




AL LT LV MK RO SI 


78470 St Renny Les Chevreuse (FR) 






• Vaillard, Pierre 


(30) 


Prioritd: 26.02.1998 FR 9802358 


91430 Igny(FR) 


(71) 


Demandeurs: 


(74) Mandataire: 


• 


AUTOMOBILES PEUGEOT 


Habasque, Etienne Joel Jean-Francois et al 




75116 Par is (FR) 


Cabinet Lavoix 


• 


AUTOMOBILES CITROEN 


2, Place d'Estienne d'Orves 




92200 NeuMly-sur-Selne (FR) 


75441 Paris Cedex 09 (FR) 


• 


RENAULT 






92100 Boulogne-Billancourt (FR) 




(54) 


Procede de verification de la coherence d' informations telechargees dans un calculateur 




EuropSisclies Patentamt 
European Patent Office 
Office europeen des brevets 



(57) Ce proc6d6 de verification de la coherence d'in- 
formations (7) telechargees par un outil de telecharge- 
ment, dans un calculateur (2) de controle du fonction- 
nennent d'un organe fonctionnel d'un v6liicule automo- 
bile, est caract^risd en ce qu'il comporte les stapes 
suivantes : 

calcul par le calculateur (2) d'un mot de validation 
des informations (7) ^ partir de celles-ci, 



comparaison par le calculateur (2) de ce mot de va- 
lidation calcule k un mot de validation correspon- 
dant (8) stocks dans ce calculateur, et non acces- 
sible k Toutil de tSldchargement, et 
validation ou invalidation par le calculateur (2) des 
informations t6l6cliarg6es (7) en cas de concordan- 
ce ou de discordance entre les mots de validation 
calcule et stocke. 
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Description 

[0001] La pr^sente invention concern e un proc^de de 
verification de la coherence d'informations tei^charg^es 
par un outil de tdidchargement dans un calculateur de 
controle du tonctionnement d'un organe fonctionnel de 
v6hicule automobile. 

[0002] On connalt d6j^ dans l'6tat de la technique, 
des calculateurs de pilotage de ce type qui compcrtent 
une unite ^ nnicroprocesseur associ6e k des moyens de 
memorisation de donn6es. 

[0003] Les progr^s de la technologie informatique ont 
permis par utilisation de circuits eiectroniques de plus 
en plus performants, d'apporter beaucoup plus de sou- 
plesse ^ la realisation des systdmes informatiques no- 
tamment embarqu^s k bord des vehicules automobiles. 
[0004] Cependant, I'introduction croissante de pro- 
grammes dans les equipements, s'accompagne de nou- 
veaux probl6mes lids k la nature sp6cifique du prodult 
logiciel et k son elaboration. 

[0005] La souptesse de modification est telle qu'elle 
absorbe la majeure partie des adaptations du systeme, 
mais cette souplesse n'est qu'apparente car une modi- 
fication mineure de code peut avoir des repercutions sur 
I'ensemble du logiciel. 

[0006] Les problemes de maintenance des logiciels 
sont d'un ordre different de ceux du materiel. 
[0007] En effet, un logiciel ne tombe pas en panne, 
mais il faut pour le corriger ou le modifier, le memo ni- 
veau de competence que pour I'elaborer. 
[0008] On a done developpe dans I'etat de la techni- 
que, diffe rents precedes et systemes qui permettent de 
teiecharger des informations par exemple de mise k jour 
dans de tels calculateurs. 

[0009] Ces operations de teiechargement sont reali- 
sees par des outils de teiechargement qui sont adaptes 
pour etre relies par exemple k une prise quelconque du 
vehicule et pour avoir acc^s au calculateur et k ses 
moyens de memorisation de donnees afin par exemple 
de charger dans ceux-ci de nouvelles informations. 
[0010] Cependant, la structure actuelle des calcula- 
teurs et les methodes d'acces k ceux-ci, sont telles que 
ceux-ci ne sont pas proteges efficacement centre des 
modifications de donnees non autorisees. 
[0011] On a alors developpe dans retat de la techni- 
que, un certain nombre de proc6des de controle de I'ac- 
ces a ces calculateurs. 

[0012] Un exemple d'un tel procede pourra etre trou- 
ve dans le document FR-A-2 719 924 et le document 
FR-A-2 719 919 d6crit une structure de calculateur de 
ce type. 

[0013] Par ailieurs, il se pose egalement le probleme 
de la coherence des informations teiecharg6es dans le 
calculateur. 

[0014] En effet. on a propose jusqu*^ present, pour 
verifier cette coherence, de calculer un mot de validation 
k partir des informations k tei6charger et d'adjoindre ce 
mot de validation aux informations k teiecharger dans 



le calculateur, par I'outil de teiechargement. 
[0015] A la reception de ce message comportant ces 
Informations et ce mot de validation, le calculateur pro- 
cede k son propre calcul d'un mot de validation k partir 

5 des informations et compare ce mot de validation cal- 
cuie par lui-m§me au mot de validation contenu dans le 
message afin de verifier la coherence des informations. 
[0016] Cependant, un tel proc6d6 ne permet pas de 
garantir que les informations teiecharg6es n'ont pas 6t6 

10 manipuiees car le calculateur ne fait que verifier la con- 
cordance entre un mot de validation calcuie sur les in- 
formations et un mot de validation joint k ces informa- 
tions et done accessible. 

[0017] Le but de I'invention est done de resoudre ces 

IS problemes. 

[0018] A cet effet, I'invention a pour objet un precede 
de verification de la coherence d'informations tei6char- 
gees par un outil de teiechargement, dans un calcula- 
teur de contrdle du tonctionnement d*un organe fonc- 

20 tionnel d'un vehicule automobile, caract6ris6 en ce qu'il 
comporte les etapes suivantes : 

calcul par le calculateur d'un mot de validation des 
informations k partir de celles-ci, 

25 - comparaison par le calculateur de ce mot de vali- 
dation calcuie ^ un met de validation correspon- 
dant, stecke dans ce calculateur, et non accessible 
k I'outil de teiechargement, et 
validation ou invalidation par le calculateur des in- 

30 formations teiechargees en cas de concordance ou 
de discordance entre les mots de validation calcuie 
et stecke. 

[0019] L'invention sera mieux comprise k I'aide de la 
35 description qui va suivre, donnee uniquement k titre 
d'exemple et faite en se referant aux dessins annexes, 
sur lesquels : 

la Fig. 1 repr6sente un schema synoptique illustrant 
^0 le raccerdement d'un outil de teiechargement a un 
calculateur; 

la Fig. 2 repr6sente un schema synoptique illustrant 
un procede de verification de I'etat de la technique; 
et 

45 - la Fig. 3 represente un schema synoptique illustrant 
un procede de verification selon I'invention. 

[0020] On connaTt en effet dans I'etat de la technique, 
des systemes de teiechargement d'informations par un 
50 outil de teiechargement designe par la reference gene- 
rale 1 sur la figure 1 , dans un calculateur designe par la 
reference generale 2 sur cette figure, de controle du 
tonctionnement d'un organe fonctionnel d'un vehicule 
automobile. 

55 [0021 1 Des moyens de raccordement designes par la 
reference generale 3 sent alors utilises pour raccorder 
ces deux organes I'un k I'autre, ces moyens de raccor- 
dement pouvant par exemple comporter des connec- 
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teurs compldmentaires et une partie de faisceau 6lec- 
trique du vdhicule. 

[0022] Dans I'etat de la technique, et comme cela est 
repr^sent^ sur la figure 2, 1'outil de t^l^chargement 6me\ 
^ destination du calculateur, un message ddsign^ par 
la r^fdrence gdndrale 4. 

[0023] Ce message comporte des informations ^ X6- 
{^charger dans le calculateur 2, ces informations 6tant 
d6sign6es par la r^fdrence gSndrale 5, et un mot de va- 
lidation 6 qui est calculi par exemple par Toutil de tel6- 
chargement ou autre, k partir des informations 5. 
[0024] Lorsque le calculateur 2 souhaite verifier la co- 
herence des informations tdldcharg^es, il proc^de ^ un 
calcul d'un mot de validation sur les informations 5 \6- 
I6charg6es et compare ce mot calculd au mot 6 transmis 
dans le message, afin de valider ou d'invalider les infor- 
mations 5 en cas de concordance ou de discordance 
entre le mot calcul6 sur les informations 5 et ce mot de 
validation 6 du message. 

[0025] On congoit cependant qu'une telle structure de 
message peut facilement etre manipul6e. 
[0026] Pour r^soudre ces problem es et selon le pro- 
c6d6 suivant {'invention, tet qu'illustrd sur la figure 3, 
I'outil de t6l6chargement 6met en direction du calcula- 
teur 2. uniquement les informations ^ telecharger, ces 
informations 6tant designees par la r6f6rence gene rale 
7 surcette figure 3. 

[0027] Le calculateur 2 proc6de alors au calcul d'un 
mot de validation des informations 7 ^ partir de celles-ci. 
[0028] Ensuite, ce calculateur 2 compare ce mot de 
validation calcul6 sur la base des informations 7. ^ un 
mot de validation 8 stocke par exemple au prealable 
dans ce calculateur, et non accessible k I'outil de tele- 
chargement pour valider ou invalider les informations en 
cas de concordance ou de discordance entre ces mots. 
[0029] C'est ainsi par exemple que ce mot de valida- 
tion 8 peut etre stocks quelque part en memoire non 
volatile du calculateur par exemple lors de la fabrication 
ou de Tacttvatton de celut-ci. 

[0030] On congoit alors qu'un tel procede permet de 
verifier de manifere relativement sure la coherence des 
informations t6l6charg6es dans le calculateur. 
[0031] En effet. le mot de validation 8 stocke dans le 
calculateur etant inaccessible k I'outil de t^lecharge- 
ment, les risques de manipulation du calculateur par 
chargement dans celui-ci d' informations frauduleuses, 
sont falbles en raison du fait qu'il est extremement diffi- 
cile voire impossible de generer des informations avec 
un mot de validation correct alors que celui-ci et sa m6- 
thode de calcul k partir des informations sont inconnus 
de Toutil de tel6chargement. 

[0032] De plus, des donn6es de remplissage peuvent 
dgalement dtre int^grdes dans les informations 7 pour 
am6liorer encore la s6curit6 de la verification. 
[0033] II va de soi bien entendu que differents algo- 
rithmes de calcul peuvent dtre utilises par le calculateur 
pourobtenir le mot de validation des informations k par- 
tir de celles-ci, de fafon classique. 



Revendlcations 

1 . Proc6d6 de verification de la coherence d' informa- 
tions (7) teiechargees par un outil de teiecharge- 

5 ment (1), dans un calculateur (2) de contrdle du 
fonctionnement d'un organe fonctionnel d'un v6hi- 
cule automobile, caracterise en ce qu'tl comporte 
les etapes suivantes : 

10 - calcul par te calculateur (2) d'un mot de valida- 
tion des informations (7) k partir de celles-ci, 
comparaison par le calculateur (2) de ce mot 
de validation calcuie k un mot de validation cor- 
respondant (8), stocke dans ce calculateur, et 

15 non accessible k I'outil de teiechargement (1 ), 

et 

validation ou invalidation par le calculateur (2) 
des informations teiechargees en cas de con- 
cordance ou de discordance entre les nnots de 
20 validation calcuie et stocke. 

2. Precede selon la revendication 1 , caracteris6 en ce 
que les informations (7) component des donn6es 
de remplissage. 

25 
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